Weiterhin wird darauf verwiesen, dass die Tathandlung zur Vorbereitung einer Computerstraftat erfolgen muss. Der Täter muss beispielsweise das Abfangen oder Ausspähen von Daten in Aussicht genommen haben. Das ist beispielsweise bei einer Sicherheitsüberprüfung, bei der Entwicklung von Sicherheitssoftware oder zu Ausbildungszwecken im Bereich der IT-Sicherheitsbranche nicht der Fall. Dies geht nach der in der Drucksache 16/3656 wiedergegebenen Auffassung der Bundesregierung sogar so weit, dass bei ursprünglich kriminellen Zwecken dienenden Computerprogrammen, wenn diese ausschließlich zu nicht kriminellen Zwecken eingesetzt werden, keine Anhaltspunkte für eine eigene oder fremde Computerstraftat bestehen. Es wird dann keine Computerstraftat in Aussicht genommen. Wer also beispielsweise für das Entwickeln von Sicherheitssoftware sich Schadprogramme verschafft, der handelt nicht zur Vorbereitung einer Computerstraftat.
Ein Teil der juristischen Literatur folgt zwar dem Bewertungsergebnis der Bundesregierung, setzt aber auf eine andere Argumentation. In der Kritik an der Argumentation der Bundesregierung wird darauf verwiesen, dass bei realitätsnahen Tests Angriffe simuliert werden und dabei Programme verwendet werden, die auch bei wirklichen Angriffen eingesetzt werden. Diese Programme dienen regelmäßig auch dem objektiven Zweck der Begehung von Straftaten. Insoweit wird dann der objektive Tatbestand nicht ausgeschlossen. In der weitergehenden rechtlichen Argumentation wird aber darauf verwiesen, dass die Vorbereitung einer Computerstraftat nach § 202a StGB und § 202b StGB erfolgen muss. Wenn ein Einverständnis eines Berechtigten vorliegt, sind entsprechende Sicherheitstests, die auch das Ausspähen oder Abfangen von Daten zum Inhalt haben, nicht mehr unbefugt.